个人信息安全风险与防范

王安平

【摘要】《人民日报》： “没有隐私，何谈安全;没有安全，又何来幸福感。公民个人信息是不容侵犯的领地。”隐私对于公民来说至关重要。个人信息安全体系初步形成，但个人信息安全技术风险和管理风险还大量存在，可能导致个人信息的违法收集、利用和处理，因而有必要构建个人信息安全监控机制、侦查机制和应急机制，确保个人信息安全可控。

【关键词】网络;信息安全;风险防范

由360互联网安全中心出品的国内第一份网站安全报告——《2015年度中国网站安全报告》（下称《安全报告》）出炉，其揭露出的网络安全问题令广大网民为之震惊。《安全报告》显示，在被调查的网站中43.g%存在安全漏洞，一年或有55亿条信息因这些网站漏洞而泄露，对个人及社会造成极大的威胁。

一、个人信息安全的含义

个人信息安全是指公民身份、财产等个人信息的安全状况。随着互联网应用的普及和人们对互联网的依赖，个人信息受到极大的威胁。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量网民个人信息的泄露与财产损失的不断增加。

从广义来说，凡是涉及网络上公民个人信息的保密性、完整性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

二、公民个人信息安全面临的风险

（一）计算机病毒的威胁

随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽，尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。

（二）黑客攻击

黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷，采用后门程序、信息炸弹、网络监听、密码破解等手段侵入计算机系统，盗窃系统保密信息，进行信息破坏或占用系统资源。

（三）信息传递的安全风险

企业和外部单位，以及国外有关公司有着广泛的工作联系，许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险，例如：被非法用户截取从而泄露企业机密;被非法篡改，造成数据混乱、信息错误从而造成工作失误;非法用户假冒合法身份，发送虚假信息，给正常的生产经营秩序带来混乱，造成破坏和损失。因此，信息传递的安全性日益成为企业信息安全中重要的一环。

（四）软件的漏洞或“后门”

随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等都被发现过存在安全隐患。大家熟悉的尼母达，中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失，可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一個缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。

三、保护公民个人信息安全的对策

（一）安全技术

为了保障信息的机密性、完整性、可用性和可控性，必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分，任何一方面薄弱都会产生巨大的危险。因此，应该合理部署、互相联动，使其成为一个有机的整体。具体的技术介绍如下：

1.加解密技术

在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。

2. VPN技术

VPN即虚拟专用网，通过一个公用网络（通常是因特网）建立一个临时的、安全的连接.是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，井保证数据的安全传输。

（二）安全管理

只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面，企业信息安全才能真正得以实现。

在实际的运行环境中，数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施，但也无法保证系统不会出现安全故障，应该对重要数据进行备份，以保障数据的完整性。企业最好采用统一的备份系统和备份软件，将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查，保障数据备份的严格进行及可靠、完整性，并定期安排数据恢复测试，检验其可用性，及时调整数据备份和恢复策略。

四、信息安全的方法

从信息安全属性的角度来看，每个信息安全层面具有相应的处置方法：

第一，物理安全。物理安全是指对网络与信息系统的物理装备的保护，主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。

第二，运行安全。运行安全是指对网络与信息系统的运行过程和运行状态的保护，主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路南过滤、降级使用以及数据备份等。